使用了ring3恢复内核钩子、感染磁盘引导区(MBR)、多种方法结束杀毒软件等技术自启动并对抗杀毒软件。完全感染后,是一个看不到可疑文件、没有启动项、普通重装系统也无法解决的顽固病毒。
http://news.duba.net/contents/tag/%e9%ac%bc%e5%bd%b1%e7%97%85%e6%af%92(金山分析报告)
生成部分文件
%ProgramFiles%\MSDN\atixx.sys(工作驱动) --------------迅闪安全中心防住了
%ProgramFiles%\MSDN\atixi.sys(负责将其他文件写入引导区)--------------迅闪安全中心防住了
%ProgramFiles%\MSDN\000000000(木马下载器)
%ProgramFiles%\MSDN\atixx.inf(驱动安装脚本)
%ProgramFiles%\MSDN\atixi.inf(驱动安装脚本)
以上文件使用后会自删除。
运行鬼影样本,用金山鬼影专杀查不到有鬼影
鬼最就常见的开机蓝屏未发现
所以没有发现穿透还原现象
鬼影病毒感染前后,MBR的变化我还没时间去分析是不是有修改
(19号我终于有时间测试鬼影病毒感染前后,MBR的变化,
一前一后的分区表备份文件进行对比,两个文件MD5和文件对比都一样
证明鬼影是不能穿透还原的)
但是这样的样本可以构造加以利用!
